🎯 Azure’s Role Roulette — Ou comment Microsoft vous offre les clĂ©s de votre propre compromission

Chez Microsoft, il y a des traditions. Comme ne pas documenter les comportements critiques de leurs services cloud, ou encore crĂ©er des rĂŽles “integrated” tellement permissifs qu’on dirait des backdoors officielles. Et grĂące Ă  l’équipe de Token Security, on dĂ©couvre aujourd’hui le grand gagnant du loto de la cybersĂ©curitĂ© : Azure’s Role Rouletteℱ. FĂ©licitations, vos droits « en lecture seule » permettent dĂ©sormais de vous faire dĂ©pouiller comme un serveur Exchange en 2010.

đŸ§© Chapitre 1 – Le rĂŽle “Reader” : pour lire, oui, mais surtout vos secrets rĂ©seau

Prenons un rĂŽle banal : Reader. En thĂ©orie, ce rĂŽle est censĂ© permettre la consultation des ressources Azure. Oui mais voilĂ  : dans Azure, lecture = voir les secrets, les configurations sensibles, les clĂ©s de chiffrement, et les PSK VPN. Et pas qu’un peu.

Token Security a dĂ©cortiquĂ© plusieurs rĂŽles “built-in” (comprendre : ceux que tout le monde utilise car « officiels ») et dĂ©couvert que certains permettaient de rĂ©cupĂ©rer les clĂ©s VPN partagĂ©es (PSK). Oui, vous avez bien lu. Le rĂŽle Reader, celui que vous assignez aux stagiaires pour faire joli, donne accĂšs Ă  des secrets rĂ©seau utilisables pour pivoter vers vos infra internes.

🔓 Chapitre 2 – Une vulnĂ©rabilitĂ© API en prime ? Mais bien sĂ»r !

Parce que Microsoft ne fait jamais les choses Ă  moitiĂ©, une faille dans l’API Azure permettait — jusqu’à rĂ©cemment — de rĂ©cupĂ©rer la PSK VPN via un simple appel API. Pas besoin de flag CTF ou d’exploitation obscure : un appel bien placĂ©, et hop, vous voilĂ  avec les clĂ©s du chĂąteau.

Microsoft a discrĂštement corrigĂ© la faille en la classant « Important » (ça change de « Critical », vous voyez, c’est plus chill). Cerise sur le gĂąteau : la rĂ©compense bug bounty a Ă©tĂ© de 7 500 $. Ce qui, avouons-le, est probablement le prix d’une demi-heure de consulting Azure sur leur Marketplace.

🧹 Chapitre 3 – Quand deux failles font une compromission

LĂ  oĂč c’est beau, c’est que la combinaison des deux faiblesses (rĂŽles trop larges + API mal protĂ©gĂ©e) permettait Ă  un utilisateur lambda de :

  1. Lister les connexions VPN et leurs configurations ;
  2. Appeler l’API pour exfiltrer la clĂ© PSK ;
  3. Se connecter au VPN d’entreprise ;
  4. Et entrer dans le réseau interne comme un touriste en sandales au Louvre.

Bref, une prise de contrĂŽle d’environnement d’entreprise, offerte par un « reader », sans Ă©lĂ©vation de privilĂšges. Vous vouliez du Zero Trust ? Vous aurez du Zero Clue.

📚 Chapitre 4 – La rĂ©ponse Microsoft : documenter, surtout ne rien corriger

Face Ă  cette pĂ©pite, Microsoft a choisi la rĂ©ponse la plus passive-agressive de l’histoire du cloud :

“Nous avons mis Ă  jour la documentation pour alerter les utilisateurs sur les risques de sur-permission des rĂŽles intĂ©grĂ©s.”
En d’autres termes : « DĂ©brouillez-vous. On vous avait rien promis. »

Pas de changement dans les rĂŽles. Pas d’audit automatique. Pas mĂȘme une alerte dans le Security Center. Juste un petit paragraphe discret dans la doc.

🔍 Chapitre 5 – Le chaos hĂ©ritĂ© d’Active Directory

L’écosystĂšme Azure AD, c’est comme un fichier Excel qu’on trimballe depuis 20 ans : plein de macros, de noms bizarres et d’hĂ©ritages mal compris. Chaque service Azure est conçu par une Ă©quipe diffĂ©rente, chaque rĂŽle donne plus que prĂ©vu, et la doc semble avoir Ă©tĂ© Ă©crite par des IA fatiguĂ©es.

Sur Reddit et HackerNews, les experts ne mĂąchent pas leurs mots :

“Un rĂŽle Reader qui lit les secrets VPN, sĂ©rieusement ?!”
“700 Mo de scripts Python pour az cli ? Microsoft, arrĂȘtez de fumer vos pipelines CI.”

✅ Chapitre 6 – Que faire ? (à part pleurer dans un coin)

Vous utilisez Azure ? Voici vos nouvelles obligations de survie :

  • Évitez les rĂŽles intĂ©grĂ©s, sauf si vous aimez le danger.
  • CrĂ©ez vos propres rĂŽles personnalisĂ©s (custom roles) avec le strict minimum de permissions.
  • Scoppez vos accĂšs au niveau le plus bas possible : groupe de ressources, ressource unique.
  • Logguez toutes les actions sur les secrets, surtout dans les services rĂ©seau.
  • Audit complet des affectations de rĂŽles dĂšs que possible.

Ah, et bien sĂ»r, changez immĂ©diatement vos clĂ©s VPN si vous avez utilisĂ© ces rĂŽles. Au cas oĂč quelqu’un d’autre ait dĂ©jĂ  visitĂ© vos locaux virtuels.

🧹 Épilogue – Microsoft, l’art de l’auto-sabotage version cloud

La sĂ©curitĂ© sur Azure, c’est comme un jeu de sociĂ©tĂ© dont les rĂšgles changent toutes les semaines, mais oĂč le seul pion, c’est vous. La vĂ©ritĂ©, c’est que les rĂŽles intĂ©grĂ©s sont une dette technique active, une sorte de malware officiel dĂ©guisĂ© en fonctionnalitĂ©.

On ne vous le rĂ©pĂ©tera jamais assez : faites le mĂ©nage vous-mĂȘmes, car Microsoft ne le fera pas pour vous.

🧠 Vous aimez ce genre d’article ? Partagez-le Ă  vos admins Azure, ou mieux, Ă  votre DSI. C’est le moment de parler de rĂŽles personnalisĂ©s — avant que ce ne soit un attaquant qui le fasse pour vous.

🎯 Azure’s Role Roulette — Ou comment Microsoft vous offre les clĂ©s de votre propre compromission
Partager cet article : Twitter LinkedIn WhatsApp

đŸ–‹ïž PubliĂ© sur SecuSlice.com

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Retour en haut